Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
l
Ing. Omar Neyra Crdova
Auditor de Tecnologas de la Informacin
Aud|tor|a y Cob|erno de
Tecno|og|as de |nformac|n
[T|}
6ob|t 4.1
Aud|tor|a y Cob|erno de
Tecno|og|as de |nformac|n
[T|}
6ob|t 4.1
!
lrl(oducc|r lrl(oducc|r a |a Aud|lo(|a a |a Aud|lo(|a
de Tl. de Tl.
2
!
60N6EPT0 0E AU0|T0R|A 60N6EPT0 0E AU0|T0R|A
La La pa|ao(a pa|ao(a aud|lo(|a aud|lo(|a v|ere v|ere de| de| |alir |alir aud|lo(|us aud|lo(|us vv de de esla esla p(ov|ere p(ov|ere
aud|lo(. aud|lo(. cue cue l|ere l|ere |a |a v|(lud v|(lud de de oi( oi( vv (ev|sa( (ev|sa( cuerlas. cuerlas. pe(o pe(o deoe deoe esla( esla(
ercar|rado ercar|rado aa ur ur oojel|vo oojel|vo especil|co especil|co cue cue es es e| e| de de eva|ua( eva|ua( |a |a
el|c|erc|a el|c|erc|a vv el|cac|a el|cac|a cor cor cue cue se se esl esl ope(ardo ope(ardo pa(a pa(a cue. cue. po( po( red|o red|o
de| de| sera|ar|erlo sera|ar|erlo de de cu(sos cu(sos a|le(ral|vos a|le(ral|vos de de acc|r. acc|r. se se lorer lorer
dec|s|ores dec|s|ores cue cue pe(r|lar pe(r|lar co((ed|( co((ed|( |os |os e((o(es. e((o(es. er er caso caso de de cue cue
ex|slar. ex|slar. oo o|er o|er rejo(a( rejo(a( |a |a lo(ra lo(ra de de acluac|r acluac|r..
J
0ef|n|c|n de Aud|tor|a de 8|stemas es:
La aud|tor|a de |os s|stemas de |nformac|n es e| proceso de
reco|ectar y eva|uar ev|denc|a que perm|ta determ|nar s| un s|stema
de cmputo sa|vaguarda |os act|vos de |nformac|n, mant|ene |a
|ntegr|dad de |os datos, perm|te que |a organ|zac|n |ogre a|canzar de
manera efect|va sus objet|vos y haga uso ef|c|ente de |os recursos.
La aud|tor|a es una func|n de contro| |ndepend|ente que en forma
s|stemt|ca y ordenada debe:
a} 6omparar |a caracter|st|ca o cond|c|n contro|ada, con
respecto a |as pautas, normas o e|ementos ut|||zados para
med|r|a.
b} 0eterm|nar |os desv|os.
c} |nformar a qu|en ordena o contrata |a aud|tor|a, que
jerrqu|camente debe estar por enc|ma de| s|stema aud|tado.
3
T|P08 0E AU0|T0R|A
Ex|sten a|gunos t|pos de aud|tor|a entre |as que |a Aud|tor|a de
8|stemas |ntegra un mundo para|e|o pero d|ferente y pecu||ar
resa|tando su enfoque a |a func|n |nformt|ca.
F|nanc|era.
0perac|ona|.
8|stemas.
Forense.
Adm|n|strat|va.
6a||dad.
Hd|ca.
n
Criterios de Informacin
!!
Erlocue de Nedoc|os Erlocue de Nedoc|os
17
!!
ENF00uE PRlNClPAL 0E C08lT ENF00uE PRlNClPAL 0E C08lT
ARMONI
ZACIN
DEFINICIONE
S Y FLUJO DE
PROCESOS
REQUERI-
MIENTOS
DE
NEGOCIO
GOBIERNO
DE TI
RETROALI-
MENTACIN
ARQUITECTUR
A
EMPRESARIAL
Y PRESENTACIN
LENGUAJE
Mejor involucramiento con
las prcticas de gobierno
en los procesos clave,
permitiendo a los
ejecutivos y al negocio
asumir sus
responsabilidades.
Integracin ms clara entre
los objetivos de negocio y
de TI, mediante objetivos
en el modelo de cascada y
mtricas que lo soportan.
Integracin optimizada con
otras prcticas importantes
Optimizacin en la
descripcin de los
procesos, actividades,
entradas y salidas.
Ms conciso, orientado a
acciones y consolidado en
un libro
Responde a
comentarios de
los usuarios
Estructura de procesos
y recursos
!J
Nuevos Estndares para mejorar e| proceso de Nuevos Estndares para mejorar e| proceso de
T.|. T.|.
ISO17799....27001
BS7799
ISO9001
PMI
ITIL
ISO17799....27001
BS7799
ISO9001
PMI
ITIL
COBIT
18
!
ARV0NlZACl0N ARV0NlZACl0N
Vode|o de 0pe(ac|r Vode|o de 0pe(ac|r -- 0(dar|zac|r 0(dar|zac|r
Controles para Auditoria
A
d
m
i
n
i
s
t
r
a
c
i
n
d
e
S
e
r
v
i
c
i
o
s
D
e
s
a
r
r
o
l
l
o
d
e
A
p
l
i
c
a
c
i
o
n
e
s
A
d
m
i
n
i
s
t
r
a
c
i
n
d
e
P
r
o
y
e
c
t
o
s
P
l
a
n
e
a
c
i
n
d
e
T
I
S
e
g
u
r
i
d
a
d
d
e
T
I
S
i
s
t
e
m
a
d
e
C
a
l
i
d
a
d
ITIL
CMM BS 7799 PMI
ISO
COSO
EA
(Gartner)
RIESGOS
Sistemas y Modelos de
Referencia
Sistemas y Modelos de
Referencia
Sarbanes
Oxley
COBIT
!
8asado er Corl(o|es 8asado er Corl(o|es
19
!i
"las oo|ir|cas. oroceo|m|enros. oracr|cas y
esrrucruras oroan|zac|ona|es o|senaoos oara
oaranr|zar razonao|emenre oue se a|canzaran |os
oo|er|vos oe| neooc|o y oue se orevenoran o
oerecraran y correo|ran evenros no oeseao|es
"las oo|ir|cas. oroceo|m|enros. oracr|cas y
esrrucruras oroan|zac|ona|es o|senaoos oara
oaranr|zar razonao|emenre oue se a|canzaran |os
oo|er|vos oe| neooc|o y oue se orevenoran o
oerecraran y correo|ran evenros no oeseao|es
0EF|N|6|0N 0E 60NTR0L
!\
V00EL0 0E C0NTR0L V00EL0 0E C0NTR0L
El modelo de control
estndar, sigue los
principios que se
evidencian en la
siguiente analoga:
cuando se ajusta la
temperatura ambiente
(estndar) para el
sistema de calefaccin
(proceso), el sistema
verificar de forma
constante (comparar)
la temperatura
ambiente (inf. de
control) e indicar
(actuar) al sistema de
calefaccin para que
genere ms o menos
calor.
20
!I
6ontro|es y Responsab|||dades 6ontro|es y Responsab|||dades
E| erlerd|r|erlo de |os (o|es v (esporsao|||dades pa(a cada p(oceso es c|ave
pa(a ur doo|e(ro elecl|vo. C08lT proporc|ona una grf|ca RA6| [qu|n es
responsab|e, qu|n r|nde cuentas, qu|n es consu|tado y qu|en
|nformado} para cada proceso. Rerd|( cuerlas s|dr|l|ca '|a (esporsao|||dad
le(r|ra acui'- esta es |a persona que provee autor|zac|n y
d|recc|onam|ento a una act|v|dad.
Resporsao|||dad se (el|e(e a |a pe(sora cue (ea||za |a acl|v|dad. Los ol(os dos
(o|es |corsu|lado e |rlo(rado) garant|zan que todas |as personas que son
requer|das estn |nvo|ucradas y dan soporte a| proceso.
Los ro|es que se presentan en una grf|ca RA6|, por sus s|g|as en |ng|s
son:
Responsab|e de [Respons|b|e} [R}
Responsab|e ante [Accountab|e} [A}
6onsu|tado [6onsu|ted} [6}
|nformado [|nformed} [ | }
E| erlerd|r|erlo de |os (o|es v (esporsao|||dades pa(a cada p(oceso es c|ave
pa(a ur doo|e(ro elecl|vo. C08lT proporc|ona una grf|ca RA6| [qu|n es
responsab|e, qu|n r|nde cuentas, qu|n es consu|tado y qu|en
|nformado} para cada proceso. Rerd|( cuerlas s|dr|l|ca '|a (esporsao|||dad
le(r|ra acui'- esta es |a persona que provee autor|zac|n y
d|recc|onam|ento a una act|v|dad.
Resporsao|||dad se (el|e(e a |a pe(sora cue (ea||za |a acl|v|dad. Los ol(os dos
(o|es |corsu|lado e |rlo(rado) garant|zan que todas |as personas que son
requer|das estn |nvo|ucradas y dan soporte a| proceso.
Los ro|es que se presentan en una grf|ca RA6|, por sus s|g|as en |ng|s
son:
Responsab|e de [Respons|b|e} [R}
Responsab|e ante [Accountab|e} [A}
6onsu|tado [6onsu|ted} [6}
|nformado [|nformed} [ | }
JI
6ontro|es y Responsab|||dades 6ontro|es y Responsab|||dades
Los ro|es en |a grf|ca RA6| estn c|as|f|cados para todos |os procesos como
s|gue:
0|(eclo( ejecul|vo |CE0)
0|(eclo( l|rarc|e(o |CF0)
Ejecul|vos de| redoc|o
0|(eclo( de |rlo(rac|r |Cl0)
P(op|ela(|o de| p(oceso de redoc|o
Jele de ope(ac|ores
A(cu|leclo er jele
Jele de desa((o||o
Jele de adr|r|sl(ac|r de Tl |pa(a erp(esas d(ardes. e| jele de lurc|ores
coro (ecu(sos ruraros. p(esupueslos v corl(o| |rle(ro)
La ol|c|ra o lurc|r de adr|r|sl(ac|r de p(oveclos |PV0)
Curp||r|erlo. aud|lo(ia. (|esdo v sedu(|dad |d(upos cor (esporsao|||dades de
corl(o| cue ro l|erer (esporsao|||dades ope(ac|ora|es de Tl)
Los ro|es en |a grf|ca RA6| estn c|as|f|cados para todos |os procesos como
s|gue:
0|(eclo( ejecul|vo |CE0)
0|(eclo( l|rarc|e(o |CF0)
Ejecul|vos de| redoc|o
0|(eclo( de |rlo(rac|r |Cl0)
P(op|ela(|o de| p(oceso de redoc|o
Jele de ope(ac|ores
A(cu|leclo er jele
Jele de desa((o||o
Jele de adr|r|sl(ac|r de Tl |pa(a erp(esas d(ardes. e| jele de lurc|ores
coro (ecu(sos ruraros. p(esupueslos v corl(o| |rle(ro)
La ol|c|ra o lurc|r de adr|r|sl(ac|r de p(oveclos |PV0)
Curp||r|erlo. aud|lo(ia. (|esdo v sedu(|dad |d(upos cor (esporsao|||dades de
corl(o| cue ro l|erer (esporsao|||dades ope(ac|ora|es de Tl)
21
Jl
A
p
l
i
c
a
c
i
o
n
e
s
I
n
f
o
r
m
a
c
i
n
I
n
f
r
a
e
s
t
r
u
c
t
u
r
a
P
e
r
s
o
n
a
s
Objetivos de Negocios
Directivas de Gobierno
Resultados del Negocio
Procesos de TI
Metas de TI
Adm|n|strac|n de 6ob|T, 6ontro|, A||neam|ento y Hon|toreo
Criterio de
Informacin
Recursos de
TI
Procesos de
TI
Objetivos de
Control Alto Nivel
Indicadores
de Ejecucin KPI
Indicadores
de Logros KGI
J!
Harco de Ap||cac|n Harco de Ap||cac|n
22
J! J!
3.10.Corl(o|es pa(a |as Tecro|odias de lrlo(rac|r v
Corur|cac|ores"
'Las acl|v|dades de corl(o| de |as TlC |rc|uver corl(o|es cue
da(arl|zar e| p(ocesar|erlo de |a |rlo(rac|r pa(a e|
curp||r|erlo r|s|ora| v de |os oojel|vos de |a erl|dad. deo|erdo
esla( d|serados pa(a p(ever|(. delecla( v co((ed|( e((o(es e
|((edu|a(|dades r|erl(as |a |rlo(rac|r l|uve a l(avs de |os
s|sleras
R6 320 -200 - 6C Normas de 6ontro| |nterno
Fech. Pub. 03- 11 -2006 Normas Legales
JJ JJ
Los contro|es de |as T|6 se estab|ecen en:
3|sleras de 3edu(|dad de P|ar|l|cac|r de |a erl|dad ap||crdose
corl(o|es a| desa((o||o. p(oducc|r v sopo(le lcr|co. sed(edac|r de
lurc|ores. sedu(|dad lis|ca v |d|ca. corl|ru|dad de| se(v|c|o.
Las elapas cue deoer corlere( e| d|sero de corl(o|es sor:
||) 0el|r|c|r de (ecu(sos
|||) P|ar|l|cac|r v o(dar|zac|r
||||) Recue(|r|erlo v sa||da de dalos o |rlo(rac|r
||v)Adcu|s|c|r e |rp|ererlac|r
|v) 3e(v|c|os v 3opo(le
|v|) 3edu|r|erlo v Vor|lo(eo
23
J
Cu|a para |a |mp|ementac|n de| 86| de |as ent|dades de| Estado R6- 458- 2008 6C.
8e debe prev|amente estab|ecer una gest|n que |nvo|ucre a |as Tecno|og|as de |a |nformac|n [T|} o Cob|erno
de |a T|. E| buen gob|erno de T| requ|ere d|sc|p||na y comprom|so. Para e||o deben cons|derarse |os s|gu|entes
aspectos:
1} Recordar que |a |mp|ementac|n |nvo|ucra camb|os cu|tura|es as| como nuevos procesos, de ta| manera
que un factor |mportante de x|to es |a promoc|n de estos camb|os.
2} Es esenc|a| que sea aceptado por |os ejecut|vos de |a organ|zac|n 6ontra|or|a Cenera| de |a Repb||ca.
3} Una vez que se ha tomado |a dec|s|n de desarro||ar un marco para e| Cob|erno de T|, e| pr|mer paso es
convencer a |a A|ta 0|recc|n y 0|recc|n Ejecut|va; |o |dea| es que proceda |a aprobac|n de |a A|ta
0|recc|n.
4} 6mo m|n|mo debe crearse un com|t de |nvers|ones en T| para rev|sar, aprobar y def|n|r pr|or|dades
para |as |nvers|ones en T| y un com|t de arqu|tectura para desarro||ar, comun|car e |ntroduc|r una
arqu|tectura de empresa y estndares de T|.
5} 0esarro||ar un proceso de gest|n de| portafo||o de |nvers|ones de T|.
} Asegurarse que |os objet|vos son c|aramente entend|dos.
7} Enfocarse pr|mero en donde es fc|| hacer camb|os y hacer mejoras, part|endo de a||| construyendo una
a |a vez.
8} Cu|ar a| n|ve| gerenc|a| ayudando a a||near |as |n|c|at|vas de T| con |as neces|dades rea|es de |a ent|dad y
asegurarse que se observa e| |mpacto potenc|a| de| negoc|o en |os r|esgos asoc|ados a T|.
J
Por esta razn es |mportante cons|derar estndares o buenas prct|cas en T| ya estab|ec|das a
n|ve| |nternac|ona|. No empezar desde cero. Rev|sar |os marcos ex|stentes [60|T, |T|L, 6HH|,
|80 17799}. 8e sug|ere tomar en cons|derac|n |o s|gu|ente:
Tratar de desarro||ar un marco prop|o
1. 8| |a preocupac|n de |a empresa son |os r|esgos apoyarse en 60|T
2. 8| es |a entrega de serv|c|os 60|T + |T|L
3. 8| es |a segur|dad 60|T + |80 17799
4. Estab|ecer un proceso corporat|vo a |a med|da
5. 6omun|car y aprender; e| gob|erno de T| debe ser cont|nuamente reforzado y exp||cado
ut|||zando |as med|das e |nd|cadores obten|dos
. Ut|||zar e| 6uadro de Hando |ntegra| para |a comun|cac|n de |as med|das de| rend|m|ento y
d|recc|n de T|.
Cu|a para |a |mp|ementac|n de| 86| de |as ent|dades de| Estado R6- 458- 2008 6C.
24
Ji
Navedac|r er C08lT Navedac|r er C08lT
J\ J\
Planificacin
y Organizacin
Adquisicin e
Implementacin
Entrega y
Soporte
Evaluacin y
Monitoreo
Gobierno
de TI
Administracin
de Recursos
P=Primario; S=Secundario
Control sobre el Proceso de TI
Que satisface el requerimiento de negocios de TI para
Focalizndose en
Es conseguido por
Y medido por
Nombre del Proceso
Resumen de las metas de negocio ms importantes
Resumen de las metas de TI ms importantes
Control claves
Indicadores claves (Mtrica)
Modelo de Navegacin CobiT
25
JI
0om|n|o P|anear y 0rgan|zar [P0}
Estn a||neadas |as estrateg|as de T| y de| negoc|o?
La empresa est a|canzando un uso pt|mo de sus recursos?
Ent|enden todas |as personas dentro de |a organ|zac|n |os
objet|vos de T|?
8e ent|enden y adm|n|stran |os r|esgos de T|?
Es aprop|ada |a ca||dad de |os s|stemas de T| para |as
neces|dades de| negoc|o?
Estn a||neadas |as estrateg|as de T| y de| negoc|o?
La empresa est a|canzando un uso pt|mo de sus recursos?
Ent|enden todas |as personas dentro de |a organ|zac|n |os
objet|vos de T|?
8e ent|enden y adm|n|stran |os r|esgos de T|?
Es aprop|ada |a ca||dad de |os s|stemas de T| para |as
neces|dades de| negoc|o?
Esle dor|r|o cuo(e |os s|du|erles cuesl|orar|erlos lip|cos de |a
de(erc|a:
I
00H|N|0: PLANEAR Y 0RCAN|ZAR [P0}
PO1 Definir un Plan Estratgico
para TI
PO2 Definir la Arquitectura de la
Informacin
PO3 Determinar la Direccin
Tecnolgica
PO4 Definir los Procesos, su
Organizacin y Relaciones
PO5 Administrar la Inversin en
TI
PO6 Comunicar los Objetivos y
la Direccin Gerenciales
PO7 Manejar los Recursos
Humanos
PO8 Administrar la Calidad
PO9 Detectar y Evaluar los
Riesgos de TI
PO10 Administrar Proyectos
Este dominio cubre las estrategias
y las tacticas para identificar la
forma en que la tecnologia de
informacion puede contribuir de la
mejor manera al logro de los
objetivos del negocio. Ademas la
realizacion de la vision estratgica
requiere ser planeada,
comunicada y administrada desde
diferentes perspectivas. Es
necesario establecer una
organizacion e infraestructura
tecnologica apropiadas.
26
l
Control sobre el proceso TI de
Definir un plan estratgico para TI
que satisface el requisito del negocio de TI para
Sostener o extender los requerimientos de gobierno y de la estrategia del
negocio, al mismo tiempo que se mantiene la transparencia sobre los
beneficios, costos y riesgos
enfocndose en
La incorporacin de TI y de la gerencia del negocio en la traduccin de los
requerimientos del negocio a ofertas de servicio, y el desarrollo de
estrategias para otorgar estos servicios de una forma transparente y
rentable
se logra con
PO1.1 Administracin del valor de TI
PO1.2 Alineacin de TI con el negocio
PO1.3 Evaluacin del desempeo actual
PO1.4 IT Plan estratgico de TI
PO1.5 IT Planes tcticos de TI
PO1.6 IT Administracin del portafolio de TI
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P=Primario
PO1 Definir un plan estratgico de TI
S=Secundario
|mportanc|a de| Proceso
P S
!
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
PO2 Definir la arquitectura de la informacin
Control sobre el proceso TI de
Definir la arquitectura de la informacin
que satisface el requisito de negocio de TI para
agilizar la respuesta a los requerimientos, proporcionar informacin confiable y
consistente, para integrar de forma transparente las aplicaciones dentro de los
procesos del negocio
enfocndose en
El establecimiento de un modelo de datos empresarial que incluya un esquema
de clasificacin de informacin que garantice la integridad y consistencia de todos los datos
se logra con:
PO2.1 Modelo de arquitectura de informacin empresarial
PO2.2 Diccionario de datos empresarial y reglas de sintaxis de datos
PO 2.3 Esquema de clasificacin de datos
PO2.4 IT Administracin de la integridad
Cob|erno
de T|
Adm|n|strac|n
de Recursos
S P S P
P=Primario S=Secundario
|mportanc|a de| Proceso
27
!
Control sobre el proceso TI de
Determinar la direccin tecnolgica
que satisface el requisito de negocio de TI para
Contar con sistemas aplicativos estndar, bien integrados, rentables y estables, as
como recursos y capacidades que satisfagan requerimientos de negocio actuales y
futuros
enfocndose en
La definicin e implantacin de un plan de infraestructura tecnolgica, una
arquitectura y estndares que tomen en cuenta y aprovechen las oportunidades
tecnolgicas
se logra con
PO3.1 Planeacin de la direccin tecnolgica
PO3.2 Plan de infraestructura tecnolgica
PO3.3 Monitoreo de tendencias y regulaciones futuras
PO3.4 Estndares tecnolgicos
PO3.5 Consejo de arquitectura
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
PO3 Determinar la Direccin Tecnolgica
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P=Primario S=Secundario
|mportanc|a de| Proceso
P P
J
Control sobre el proceso TI de
Definir los procesos, organizacin y relaciones de TI
que satisface el requisito de negocio de TI para
agilizar la respuesta a las estrategias del negocio mientras al mismo
tiempo cumple con los requerimientos de gobierno y se establecen puntos de
contacto definidos y competentes
enfocndose en
el establecimiento de estructuras organizacionales de TI transparentes,
flexibles y responsables, y en la definicin e implantacin de procesos de TI
con los propietarios, y en la integracin de roles y responsabilidades hacia
los procesos de negocio y de decisin
se logra con
P|an|f|cac|n
y 0rgan|zac|n
Adqu|s|c|n e
|mp|ementac|n
Entrega y
8oporte
Eva|uac|n y
Hon|toreo
PO4 Definir los procesos, organizacin y relaciones de TI
Cob|erno
de T|
Adm|n|strac|n
de Recursos
P P
P=Primario S=Secundario
|mportanc|a de| Proceso
PO4.1 Marco de trabajo del proceso
PO4.2 Comit estratgico
PO4.3 Comit directivo (Steering Committee)
PO4.4 Ubicacin organizacional de la funcin de TI
PO4.5 Estructura organizacional
PO4.6 Roles y responsabilidades
PO4.7 Responsabilidad de aseguramiento de calidad de TI
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
PO4.1 Marco de trabajo del proceso
PO4.2 Comit estratgico
PO4.3 Comit directivo (Steering Committee)
PO4.4 Ubicacin organizacional de la funcin de TI
PO4.5 Estructura organizacional
PO4.6 Roles y responsabilidades
PO4.7 Responsabilidad de aseguramiento de calidad de TI
PO4.8 Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
PO4.9 Propiedad de datos y de sistemas
PO4.10 Supervisin
PO4.11 Segregacin de funciones
PO4.12 Personal de TI
PO4.13 Personal clave de TI
PO4.14 Polticas y procedimientos para personal contratado
PO4.15 Relaciones
28